此实验代码请务必在Vmware中执行，不要在真机上进行实验，否则会很麻烦。

本实验的设计是基于C语言的恶意代码，其执行过程如下:

1. 首次执行该病毒时，如果检测到注册表的任务管理器未禁用，则该病毒依次执行以下功能:

创建一个启动项，将文件复制到系统目录路径下，并将其用作自动启动路径；

禁用任务管理器；

禁用注册表编辑器；

获取图片并修改桌面背景(重新引导生效)；

修改注册表以将用户键盘输入阻止为1(重新启动生效)；

删除驱动器号，使桌面无效并开始菜单快捷方式；

在桌面上恶意扩散，生成具有随机名称的自复制文件；

强制关闭计算机；

2. 重新启动计算机后，任务管理器已被禁用，因此它仅在桌面上恶意扩散，并且改变了桌面背景并且键盘输入无效.

1. 扩散模块

为了实现恶意代码的自我扩散，请使用Windows系统随附的API函数SHGetSpecialFolderPath来获取当前用户的桌面路径；使用GetModuleFileName函数获取当前正在执行的程序的路径，最后使用Copyfile函数完成自我扩散.

扩散模块的相关代码如图2.1所示.

图2.1恶意代码扩散模块

2. 注册表修改模块

修改注册表项，以使病毒程序在启动时自动启动，禁用任务管理器，禁用注册表编辑器电脑病毒编写，修改桌面背景图片，并将用户的键盘输入屏蔽为数字1. API函数主要用于: RegCreateKey，RegSetValueEx，RegCloseKey，相关代码如下:

图2.2修改注册表以实现启动时自动启动

如上面的代码所示，使用GetModuleFileName函数获取当前可执行程序的绝对路径，调用API函数GetSystemDirectory获取系统目录路径，并使用文件操作函数CopyFile实现对文件的复制. 可执行程序，以避免被感染者直接删除. 将系统目录路径中的可执行程序设置为同时自动启动，并修改了注册表以创建文件关联. 只要用户打开txt文件，默认情况下就会打开系统目录路径中的病毒程序.

图2.2禁用任务管理器和注册表编辑器

只要将键值1添加到指定目录，即可禁用任务管理器或禁用注册表编辑器.

图2.3修改桌面背景图片

图2.3中所示的代码实现了在重新启动计算机后从指定的URL下载图片并将其设置为桌面背景，并且默认情况下无法更改它. 实际操作仅需将名称添加为Wallpaper，即在指定目录中添加数据. 类型为REG_SZ且内容为下载完成路径的项目.

图2.4修改注册表以阻止用户键盘输入

修改注册表以阻止用户键盘输入. 用户重新启动计算机后，此操作才会生效.

3. 前台窗口中的隐藏模块

隐藏前景窗口以防止用户正常运行，以避免用户直接杀死控制台程序并导致病毒程序无法继续运行. 使用GetForegroundWindow()函数获取前景窗口的句柄，并使用ShowWindow函数隐藏当前句柄指示的窗口. 前景中的隐藏窗口模块如图2.5所示.

图2.5前台窗口中的隐藏模块

4. 注册表修改检测模块

第一次运行病毒程序时，尚未修改注册表. 这时，您运行病毒程序来执行注册表修改模块，但是当计算机重新启动时，注册表已被修改，因此无需再次运行注册表. 修改操作(也没有相应的管理员权限)，因此添加一个模块来检测是否禁用了任务管理器，代码如图2.6所示:

图2.6注册表修改检测模块

5. 执行模块

执行模块实现的功能相对简单，同时确保计算机不会崩溃. 第一种是禁用任务管理器，注册表修改编辑器，在重新启动注册表后修改桌面背景，并屏蔽用户的键盘输入. 这些与注册表相关. 在注册表修改模块中已指出相关，它们是执行模块的一部分.

修改注册表后，被感染计算机的驱动器号被破坏，因此桌面快捷方式和菜单栏图标指向无效的连接，并且只有在重新启动后才能还原. 相关代码如下所示:

图2.7损坏的系统的驱动器盘符

此函数调用DefineDosDevice函数，但是由于此API函数需要管理员权限，因此只能在第一次执行时运行；

最后，该病毒程序将自己复​​制到桌面上以生成垃圾文件，这些文件总共被复制30次. 相关代码如下所示:

图2.8在桌面上生成的垃圾邮件文件

6. 隐藏恶意代码并获得管理员权限

因为您需要获得管理员权限才能修改注册表，所以用户不会将未知程序授予管理员权限，因此他们使用自解压方法将恶意代码与某些常规程序安装包捆绑在一起以执行恶意代码. 隐藏并欺骗了管理员权限.

使用压缩软件自解压恶意代码执行程序和其他常规安装程序包以进行隐藏. 在高级选项中，选择解压缩后自动运行的程序，选择静默安装模式，然后使用指定的ico文件指定图标，这样自解压缩的文件与原始的正常安装包之间就不会有明显的区别. 使用时. 但是运行后，将安装正常程序并执行恶意代码. 这样，完成了恶意代码的隐藏，并提高了恶意代码的传染性. 一些高级选项设置如图2.9所示.

图2.9高级自解压高级选项

三，实验结果

执行伪装的自解压文件，程序已正常安装，并且快速弹出窗口显示病毒程序此时开始执行. 同时，您可以看到此时已禁用任务管理器和注册表编辑器.

由于禁用了任务管理器和注册表编辑器，因此用户无法通过任务管理器轻松结束该过程，也无法还原注册表. 其效果如图3.2和3.3所示.

程序的继续. 弹出窗口显示C驱动器号已成功销毁. 如图3.4所示. 删除系统驱动器号后，桌面上的所有快捷方式均无效，并且“开始”菜单中的所有快捷方式均无效. 打开计算机窗口没有响应. 执行效果如图3.5所示. 然后，您只能手动重新启动计算机.

由于重新启动后已修改了注册表，因此此时更改了桌面背景. 效果如图3.6所示. 并且用户输入被阻止，无论输入什么字母，它始终显示1. 效果如图3.7所示.

由于该病毒程序被设置为在启动时自动启动，但此时尚未获得管理员权限，并且由于注册表已被修改，因此病毒此时会直接复制自身并在桌面上生成垃圾文件. 经过该次数后，操作结束，但如果用户打开txt文件，由于实现了注册表关联，则此时病毒程序开始执行，垃圾文件的效果为如图3.8所示.

病毒预功能已基本实现.

图3.1恶意代码的运行效果(一)

图3.2恶意代码的运行效果(二)

图3.3恶意代码的运行效果(三)

图3.4恶意代码的运行效果(四)

图3.5恶意代码运行效果(五)

图3.6恶意代码的运行效果(6)

图3.7恶意代码的运行效果(七)

图3.8恶意代码的运行效果(8)

第四次实验经验

该实验通过编写恶意代码学到了很多东西.

在编写此恶意代码的过程中，我对病毒程序或木马如何修改注册表并将其自身复制到系统目录路径有更深入的了解和实践，并且学习了如何使用文件操作API和Windows注册API功能，例如表修改API和磁盘驱动器号修改API. 同时，我还学习了如何伪装其可执行程序以达到欺骗受感染者的目的. 例如，在此实验中，将病毒程序复制到安装包中并执行，并在解压缩期间获得了管理员权限.

但是此实验中仍然存在一个缺陷电脑病毒编写，那就是如何使重新启动后的自启动程序获得管理员权限. 搜索大量信息后尚未实现此功能，因此需要在下一个实践中实现. 此块功能已完善.

此外，该病毒程序无法幸免于杀毒软件的检测和删除，因此如何对抗杀毒软件是另一个需要改进的地方.

总的来说，该实验的实现相对简单，但是仍有很多事情需要学习！

本文来自电脑杂谈，转载请注明本文网址：

http://www.pc-fly.com/a/jisuanjixue/article-150828-1.html